Use a família de comandos selfservice:
ipa selfservice-add 'user can read employeeNumber' --attrs=employeeNumber --permissions=read
Em nosso ambiente, employeeNumber é um campo sensível e não queremos que ele seja legível por todos os usuários. Por padrão, o IdM / IPA tem uma permissão padrão System: Read User Addressbook Attributes , que inclui o atributo employeeNumber, mas foi removido (usando a interface da web do IPA). Isso teve o efeito não intencional de não permitir mais que um usuário visualizasse seus próprios employeeNumber .
Eu sei que posso criar manualmente um ACI ( (targetattr = "employeeNumber")(version 3.0;acl "User: Read own employeeNumber";allow (read) userdn = "ldap:///self";) ) que dará ao usuário de volta esse acesso ao seu próprio employeeNumber , mas eu preferiria fazer isso na interface do IPA. Não consigo encontrar nenhuma opção incluída para fornecer ao usuário acesso somente leitura a algo - até mesmo às configurações do Self Service, mas isso dá acesso somente à gravação, mas não ao acesso de leitura.
Tags freeipa